GDPR正式實施后，愛爾蘭的數據保護監管機構就數據保護問題對多個互聯網大廠展開了調查。近期，針對Facebook、Twitter的調查占據了全球各大媒體頭條。下面小編就帶領大家分析這兩個備受矚目的數據保護熱點事件。

　　Facebook用戶數據泄露

　　9月末，Facebook首次向公眾披露公司的系統遭到黑客襲擊。事件經過是公司內部的工程師團隊在9月14日發現，產品中的三項安全漏洞遭到黑客攻擊，在9月27日通過一系列技術手段修補了這些漏洞，并且積極向數據監管機構同步了此次數據泄露的情況。同時Facebook指出，大約5000萬用戶的訪問權限因此次黑客攻擊受到了影響。然而，幾個星期后，Facebook認為受影響的人數減少到3000萬，理由是公司之前過高估計了此次黑客襲擊的影響范圍。即便砍掉了近半受影響用戶數，但多達3000萬賬戶數據泄露的事實，再次讓Facebook成為輿論焦點。

　　在Facebook已經確定的3000萬用戶中，約有2900萬用戶的重要個人信息如姓名、聯系人等被公開。這其中約有1400萬用戶的其他個人信息如性別、親友關系、家鄉、生日以及最近打卡的位置信息也被無辜截取。對于剩下的100萬人，Facebook表示黑客掌握了他們的登陸信息后，目前還沒有顯示任何信息被訪問。為了盡力彌補這次數據泄露事件帶來的不良后果，Facebook公布了供用戶進行賬戶受影響情況查詢的網站。在這個網站上，用戶可以透過網站查看賬戶是否受到影響以及賬戶的暴露程度。此外，Facebook還向受到影響的3000萬人陸續發送消息提醒，解釋攻擊者可能訪問了哪些信息，以及他們可以采取哪些方式保護自己的數據。

　　10月3日，愛爾蘭數據保護監管機構正式在官網披露，開始調查Facebook泄密事件。對于遭到攻擊的原因，Facebook只是向愛爾蘭數據保護機構表示他們的內部調查仍在繼續，并且該公司將繼續采取補救措施以減輕用戶的潛在風險。但是，根據《財富》網站的新聞報道，已經有匿名知情人士透露，這可能是一家不知名的數字營銷公司通過發送大量垃圾郵件攻擊了Facebook的基礎軟件架構。Facebook之所以明確對外表示拒絕透露調查的具體內容，是因為美國聯邦國家調查局也介入了這一事件并積極展開調查，同時要求Facebook不要討論這次攻擊的可能來源。

　　在2018年的前三個季度，Facebook的數據安全漏洞問題已經多次見諸報端并引起用戶和廣告商的不滿。對此，Facebook的創始人扎克伯格公開承諾，他們將繼續推進數據安全的保護，并將在本年底將安全團隊的人員擴大到20000人，以防止Facebook的核心業務由于數據安全問題受到影響。

　　Twitter追蹤用戶數據

　　來自倫敦大學學院的技術政策研究員邁克爾·維爾（Michael Veale）在今年早些時候向Twitter提出了一項請求，希望實現GDPR下用戶對于數據處理的知情權。他在請求里要求Twitter提供其縮短的分享鏈接機制追蹤到了關于他的具體數據信息。但是在他發出以上請求后，Twitter以公司提供這些數據需要付出“不成比例的努力”為由拒絕了他的要求。同時，Twitte r稱，使用t.co的短鏈接的目的除了通過Cookies追蹤統計用戶鏈接被點擊的次數，也是公司保護用戶免受惡意網站攻擊、保障用戶數據安全的重要手段。

　　Twitter的理由并沒有讓維爾先生信服，他認為Twitter可能利用短鏈接追蹤并收集用戶的時間戳和所使用的設備等信息，并極有可能利用這些數據計算用戶的位置。隨后，他在8月份向愛爾蘭數據保護監管機構提出了針對Twitter的投訴。而就在10月13日，愛爾蘭數據保護監管機構的發言人在一份聲明中說：“在收到用戶對Twitter拒絕提供數據處理詳情的投訴后，數據保護委員會已經在上周開展了一項法定調查，調查的主要內容在于確定Twitter的前述行為是否有違反GDPR的情形。許多人似乎都在好奇，GDPR巨額的罰款名單是不是又要增加一員“猛將”，但每日郵報的分析文章指出，Twitter由于違反GDPR觸發最高罰款的可能性不高，畢竟不像前面的Facebook一直處在輿論的風口浪尖，這只是它在遵守數據隱私規則方面所遭受的第一次調查。

　　關注重點

　　愛爾蘭數據保護監管機構尚未公開調查結果，我們也不知道Facebook和Twitter這次是否會被歐洲數據保護監管機構當做“殺雞儆猴”的典型。但是根據以上披露出來的新聞事實，我們可以總結出目前監管機構在數據合規方面關心的重點：

　　1.個人數據的安全性問題

　　在Facebook事件中，監管機構應該會重點審查Facebook是否遵守了GDPR中規定的義務，即是否實行了足夠的技術和組織措施，以確保其處理的個人數據的安全性。技術保障措施包括個人數據的假名化和加密，保證數據處理系統的快速恢復；以及在組織上采取一定的措施識別和阻止數據泄露，確保數據安全以及識別和分類個人數據。同時，GDPR還要求數據的控制者和處理者謹防“數據泄露”，進一步履行數據安全保護的義務。在防止數據泄露的手段中，企業如何防止未經授權的使用或訪問，對數據保護發揮著至關重要的作用。

　　2.用戶對其數據享有各項權利的實現問題，比如訪問權（Access）

　　在針對Twitter的投訴事實里，維爾提出Twitter不愿意提供用戶所需要的對數據處理的信息。

　　從GDPR上看，我們認為愛爾蘭監管機構可能會重點審查數據主體權利的實現問題。GDPR一項重要的要求，就是用戶有權利知道數據處理的目的，并且享有對自身數據進行管理的權利。

　　3.企業本身處理用戶個人數據是否遵循了最小化等原則

　　維爾在投訴中提出，Twitter對于短鏈接在后臺的追蹤等數據處理，有極大的可能已經超出了數據處理的目的所需要的限度。

　　在個人數據處理的相關原則部分，GDPR要求企業盡量減少處理個人數據的數量，要求企業對于個人數據的處理需要充分、相關且限制在數據處理目的所需的最小范圍內。這個被稱為“數據最小化”原則，也是Twitter在數據處理中可能被挑戰的一個方面。

　　啟示

　　愛爾蘭此番針對Facebook和Twitter的調查，為企業數據合規工作的開展上了生動又具體的一課。因此，當下把數據作為重要資產和“燃料”的互聯網企業，應該注意在數據處理上嚴格遵守“數據最小化”的處理原則，保障用戶權利，并在發生數據泄露事件后采取積極措施以降低影響。另外，小編想強調的是，數據安全也是數據合規中的重要環節，是我們搭建數據合規體系最重要的支點，離開數據安全的數據合規建設將會是無源之水，無本之木。

責任編輯：陳愛